基于SDN控制器阈值的DDoS攻击预警方法及其系统的制作方法
【技术领域】
[0001]本发明属于通信领域,尤其涉及一种基于SDN控制器阈值的DDoS攻击预警方法及其系统。
【背景技术】
[0002]随着互联网科技的飞速发展,人类已步入信息时代,信息技术极大地推进了社会变革以及人类生活方式转变的速度,促进了人类信息的高效共享。然而,现有互联网基础架构相对僵化,其控制逻辑和数据层面垂直耦合的特征,导致高效的网络或服务管理成为现有互联网的一大难题。随着未来网络技术的不断进步,软件定义网络(Software-DefinedNetwork, SDN)技术成为解决上述难题的主流选择方案。SDN网络技术通过将网络的数据平面和控制层面解耦合,即通过将网络的控制逻辑从路由器或交换机中剥离出来,达到对网络或服务高效管理和动态配置的目的,极大地推动了信息网络技术的进展,但其仍不能完全避免遭受分布式拒绝服务攻击(Distributed Denial of Service, DDoS)的侵害。
[0003]DDoS攻击作为主流的网络攻击类型,危害巨大。尽管大量投资进入了互联网系统和服务领域,无数机构每年仍经常因为DDoS攻击而面临灾难性的停运事件。例如,2013年8月25日,我国顶级域名CN的解析服务器遭受DDoS攻击,造成大量以CN为后缀的网站完全无法访问,经济损失和社会影响难以估计。
[0004]DDoS攻击通常针对某一或几个特定目标,由僵尸网络发起大量的恶意流量导致目标资源无法被正常访问,并通过伪造流量源地址信息,进行攻击危害的同时,利于躲避追查。基于源地址伪造机制的DDoS攻击中,数量及其巨大的恶意数据包所携带的源地址信息均为伪造的,加之现有网络架构中路由器只按照目的地址对数据包进行转发,而不过问数据包的来源,使得上述DDoS攻击难以被及时预警。除非被攻击目标出现服务中断或网络链路瘫痪等重大停运事件,上述攻击才可被预警,但通常为时已晚。
[0005]DDoS攻击危害的严重性已被工业界和学术界广泛共识,可严重制约SDN等未来网络技术的发展、推广、部署和应用。因此,有必要研究SDN网络中DDoS攻击的预警技术,提高未来网络架构的安全性,推动信息安全技术的发展和未来网络技术的进步。
[0006]现有的DDoS威胁过滤和链路重配的SDN结构及工作方法为:通过在传统SDN网络中添加一定数量的IDS决策服务器,通过上述IDS决策服务器对数据包链路层、网际层、传输层、应用层标志位进行异常检测,并制定出相应的异常处理策略,并通告SDN控制器,使其重新规划路由路径,达到减轻DDoS危害的目的。
[0007]DDoS威胁过滤和链路重配的SDN结构及工作方法专门引入了 IDS决策服务器,以达到减轻SDN网络中DDoS攻击危害的效果。上述IDS决策服务器及其与SDN控制器协议交互机制的引入,增加了 SDN网络配置和协议交互的负担,增大了 SDN网络应用的复杂度,在提升安全性的同时付出了较沉重的代价。
【发明内容】
[0008]为了解决现有技术的缺点,本发明提供一种基于SDN控制器阈值的DDoS攻击预警方法及其系统。该方法未引入任何额外的网络中间件设备,完全利用SDN网络中固有的SDN控制器与交换机的配合以预警DDoS攻击,在提升SDN网络安全性的同时,未引入任何网络配置负担,亦未导致网络复杂度的提高。
[0009]为实现上述目的,本发明采用以下技术方案:
[0010]一种基于SDN控制器阈值的DDoS攻击预警方法,包括:
[0011]将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;
[0012]SDN交换机将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;
[0013]SDN控制器接收到威胁预警消息后,逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;
[0014]SDN交换机按照接收到的威胁预警应答消息进行转发相应的数据包。
[0015]所述查找被攻击的地址的过程为:
[0016]目的地址的在一定时间段内的统计访问总量与访问数据包总数量阈值进行对比:若未超过上述阈值,则数据包按照标准SDN网络处理流程正常转发;若超过上述阈值,则定位该目的地址为被攻击地址。
[0017]所述威胁预警应答消息至少包含针对被攻击地址的安全策略。
[0018]威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则所述威胁预警消息中目的地址正遭受DDoS攻击。
[0019]所述配置发往SDN交换机的威胁预警应答消息的过程为:
[0020]威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则发往SDN交换机的威胁预警应答消息携带的安全策略为:限制发往被攻击目的地址的流量带宽,并镜像流量到网络流量清洗设备;
[0021]若超过上述阈值,则发往SDN交换机的威胁预警应答消息携带的安全策略为:发往被攻击目的地址的流量带宽不限制。
[0022]一种基于SDN控制器阈值的DDoS攻击预警方法的预警系统,包括:
[0023]数据包目的地址统计模块,其用于将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;
[0024]SDN交换机,其用于将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;
[0025]SDN控制器,其用于接收到威胁预警消息;
[0026]数据包源地址可达性统计模块,其用于逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;
[0027]SDN交换机,还用于按照接收到的威胁预警应答消息中的安全策略进行转发相应的数据包。
[0028]所述数据包目的地址统计模块中查找被攻击的地址的过程为:
[0029]目的地址的在一定时间段内的统计访问总量与访问数据包总数量阈值进行对比:若未超过上述阈值,则数据包按照标准SDN网络处理流程正常转发;若超过上述阈值,则定位该目的地址为被攻击地址。
[0030]所述威胁预警应答消息至少包含针对被攻击地址的安全策略。
[0031]所述数据包源地址可达性统计模块中配置发往SDN交换机的威胁预警应答消息的过程为:
[0032]威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则发往SDN交换机的威胁预警应答消息携带的安全策略为:限制发往被攻击目的地址的流量带宽,并镜像流量到网络流量清洗设备;
[0033]若超过上述阈值,则发往SDN交换机的威胁预警应答消息携带的安全策略为:发往被攻击目的地址的流量带宽不限制。
[0034]本发明的有益效果为:
[0035](1)本发明提出一种基于SDN控制器阈值的DDoS攻击预警方法未引入任何额外的网络中间件设备,完全利用SDN网络中固有的SDN控制器与交换机的配合以预警DDoS攻击,在提升SDN网络安全性的同时,未引入任何网络配置负担,亦未导致网络复杂度的提尚ο
[0036](2)本发明提出的基于SDN控制器阈值的DDoS攻击预警方法可通过软件升级的方式集成到SDN网络中,无需购置额外的硬件设备,降低SDN安全性提升带来的设备选购费用。
【附图说明】
[0037]图1是本发明的基于SDN控制器阈值的DDoS攻击预警系统的功能模块结构示意图;
[0038]图2是本发明的基于SDN控制器阈值的DDoS攻击预警方法的流程图。
【具体实施方式】
[0039]下面结合附图与实施例对本发明做进一步说明:
[0040]由于分布式拒绝服务攻击(Distributed Denial of Service, DDoS)已成为威胁互联网安全的众多网络恶意攻击中的焦点,被称为网络领域的“破坏之王”。基于OpenFlow协议的软件定义网络(Software-Defined Network, SDN)技术作为未来互联网的主流技术之一被广泛认可,其中SDN控制器在上述网络架构中发挥着策略控制等核心的作用,但尚未出现完全基于SDN控制器统计信息进行DDoS攻击预防和对抗的研究成果文献。本发明的该方法采用了基于SDN控制器进行数据包总量统计分析进而识别威胁的DDoS攻击预警方法,充分利用未来网络SDN架构的内在特点,提高网络安全性。
[0041]此外,现有主流DDoS攻击的数据包多采用伪造的源地址,使得攻击源头追溯以及攻击的预警十分困难。本发明提出的方法利用DDoS攻击中数据包携带伪造源地址的特征,基于SDN控制器收到的查询无效地址的数据包的分布规律,判别DDoS攻击的存在性。
[0042]下面采用图2进行说明本发明的基于SDN控制器阈值的DDoS攻击预警方法,从图2可看出,其中的标号1、2、3和4,指的是数据流的先后